uand on voit le nombre de boîtes qui se sont fait voler des informations personnelles ces derniers temps, on ne peut s'empêcher de s'interroger sur le niveau d'incompétence de certaines personnes impliquées dans la conception, le déploiement, l'audit et/ou l'administration quotidienne de leurs systèmes. Et d'autant plus le cas quand elles sont soumises à tout pleins de réglementations qui les obligent à passer par la case certification, PCI DSS en tête.
Ainsi, la lecture d'une question sur ServerFault vous fournira quelques éléments de réponses sur la compétence de certains auditeurs. Ainsi que leur capacité à se confronter aux réalités techniques et à se remettre en cause...
Dans ce post intitulé "Our security auditor is an idiot, how do I give him the information he wants?", un administrateur nous explique que la personne en charge de l'audit PCI DSS de sa société demande qu'on lui fournisse rien de moins que la liste de tous les logins avec le mot de passe associé en clair, la liste de tous les changements de mot de passe des six derniers mois évidemment en clair, la liste de toutes les clés SSH, publiques comme privées, et exige enfin qu'à chaque fois changement de mot de passe, lui soit envoyé un email contenant le login et le mot de passe en clair de l'utilisateur. La suite est tout simplement affligeante...
Difficile donc de s'étonner après ça du piètre niveau de protection des données chez certains... Surtout s'ils ont été certifiés par ce triste individu...
Jeu de briques
Snake
Pacman
Bubble